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(3) Procede de conduite d*une transaction entre une carte a puce et un systeme d'information 
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(57) Pour resoudre un probleme de transaction a 
reatiser entre deux cartes a puce reliees ensem- 
ble a un lecteur, on prevoit que les transactions 
soient enregistrees provisoirement, en memoire 
non volatile de ces cartes a puce, et que ces 
cartes a puce emettent a destination du lecteur 
un message disant que la preparation de la 
transaction a ete achevee. Le lecteur, recevant 
des messages en provenance ces deux cartes a 
puce, emet a destination de ces deux cartes a 
puce, apres verification, un autre message leur 
signal ant qu'elle peuvent rendre definitif le 
caractere provisoire de la transaction. On mon- 
tre qu'en agissant de cette facon, on rend la 
transaction parfaite entre les deux intervenants 
sans risque de fraude et ou de pannes. 
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La presente invention a pourobjet un precede de 
condurte d'une transaction entre une carte a puce et 
un systeme d'information, notamment une base de 
donnees. Elle est notamment destinee a etre utilisee 
avec des cartes a puces du type porte-monnaie elec- s 
tronique. Avec de telles cartes, H est prevu que des 
unites representatives de sommes d'argent soient 
transferees d'une carte a puce a une autre, ou d'une 
carte a puce a un compte memorise dans une base 
de donnees, ou I'inverse. Dans le premier cas, en pra- to 
tique, la deuxieme carte a puce joue un rfile de sys- 
teme d'information, par exemple de base de donnees 
pour memoriser des nombres d'unites. Au lieu de 
transferer des unites representatives d'echange de 
monnaies, on peut aussi prevoir que des informations 15 
seront echangees: une reservation etant par exemple 
enregistree dans une carte a puce alors que I'indis- 
ponibilite correspondante du service reserve est no- 
tee dans la base de donnees. Le precede peut aussi 
etre utilise avec des cartes a puces de type sante ou 20 
meme des cartes a puce de type PCMCIA connues 
par ailleurs pour servir de memoire. 

Ce type de transaction presente des problemes 
evidents. Ces problemes sont lies au fait que le credit 
d 'unites, ou la reservation, et d'une maniere plus ge- 25 
nerale les informations, peuvent etre portes dans un 
support, par exemple une carte a puce, avant d'etre 
debite dans I'autre, par exemple la base de donnees, 
ou une autre carte a puce. II importe done d'assurer 
la coherence de la transaction et de faire en sorte que 30 
Ton ne puisse pas se retrouver dans une situation 
permettant les incoherences. 

Dans une premiere tentative de solution on a ima- 
gine de rendre les cartes a puces destinataires de la 
transaction prisonnieres d'un mecanisme qui empe- 35 
che leur retrait physique de I'organe de gestion de la 
transaction avant que la transaction ne soit terminee. 
Ce type de mecanisme n'est cependant pas utilisable 
d'une maniere generate, notamment si, pour des be- 
soins de commodite et de diffusion de ('utilisation des 40 
cartes a puces, on prevoit de mettre en service des 
lecteurs aptes a faire le transfert d'une carte a une au- 
tre et disponibles par ailleurs en libre service en de 
nombreux endroits. Le fait de pouvoir retrrer la carte 
a tous moments, ou bien les deux cartes partenaires 45 
a la transaction, imptique qu'on choisisse une autre 
solution. En outre il convtent, au dela de toutcontexte 
de fraude, de prevoir les cas de pannes dans une car- 
te a puce ou dans la base de donnees. 

Le probleme se presente egalement si, au lieu so 
d'echange d'unites, on prevoit par exemple d'effec- 
tuer des reservations: une reservation etant enregis- 
tree dans une carte a puce, alors que la prise de la 
reservation est egalement enregistree dans la base 
de donnee au nom du titulaire de la carte a puce. On 55 
peut par ailleurs imaginer d'autres situations ou les 
echanges d'information doivent etre coherents. 

Pour resoudre ce probleme, dans ('invention on a 



eu I'idee de faire appel a un protocole particulier d'eo- 
registrement. Dans ('invention, dans un premier 
temps on enregistre provisoirement ('information fi- 
nale, ou le nouvel etat des unites (celui qu'elles de- 
vraient avoir a Tissue de la transaction), en memoire 
non volatile. On garde d'autre part en memoire non 
volatile ces informations ou unites dans leur etat ini- 
tial, avant la transaction. Ensuite, on envoie a un or- 
gane qui gere la transaction un message indiquant 
que ce type de preparation a ete mene a terme. L'or- 
gane de gestion de la transaction verif ie ensuite qu'il 
recoit un message du meme type de tous les parte- 
naires a la transaction (en general il n'y en a que deux 
mats il pourrait y en avoir plusteurs) et transmet, si la 
transaction s'est passee correctement, aux diffe- 
rents partenaires un deuxieme message leur signa- 
lant que le caractere provisoire d'enregistrement de la 
transaction peut etre abandonne au profit d'un carac- 
tere def initif. Dans ces conditions la carte a puce por- 
te dans sa memoire non volatile une indication morv 
trant que le caractere provisoire peut etre abandon- 
ne. On montrera que ce type de protocole permet de 
resister a toutes les tentatives de f raudes et a toutes 
les pannes qui peuvent survenir au cours de la reali- 
sation de la transaction. 

L'invention a done pour objet un precede de 
conduite de transaction entre une carte a puce, no- 
tamment de type porte monnaie electronique, et un 
systeme d'information, notamment une base de don- 
nees, mis en relation entre eux par I'intermediaire 
d'un lecteur de carte a puce relie au systeme, carac- 
terise en ce qu'il comporte les eta pes suivantes, une 
fois que la carte a puce est en relation avec le syste- 
me: 

- une action de mise a jour, de debit ou de credit, 
d'information est effect uee dans la puce de la 
carte, 

- et une action de mise a jour, de credit ou de de- 
bit, d'information correspondante est effectuee 
dans le systeme, 

- la carte a puce et le systeme envoient chacun 
a un organe de gestion de la transaction un 
premier message indiquant que les mises a 
jour, debits et credits, correspondantes ont ete 
effectuees provisoirement par la carte a puce 
et le systeme, 

- I'organe de gestion de la transaction verifie la 
coherence de ces premiers messages et en- 
voie des deuxiemes messages a la carte a 
puce et ou au systeme pour leur indiquer que 
la transaction projetee est equilibree entre 
eux. 

- la puce de la carte a puce n'est autorisee a 
fonctionner que lorsqu'elle a recu et enregistre 
le deuxieme message. 

En variante, la carte a puce et la base de donnee 
enregistrent le caractere def initif de la transaction et 
envoient un troisieme message a I'organe de gestion 
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pour signaler la reception du deuxieme message, 

- la puce de la carte a puce n'est alors autori- 
see a ut Miser les informations recues que lorsqu'elle 
a emis correctement le troisieme message. 

L* invention sera mieux comprise a la lecture de la 5 
description qui suit et a I'examen des figures qui I'ac- 
compagnent, celles-ci ne sont donnees qu'a titre in- 
d teat if et nullement limitatif de I'invention. Les figures 
montrent: 

- figure 1: une representation schematique d'un 10 
systeme utilisable pour mettre en oeuvre Tin- 
vention; 

- figures 2a a 2c: des organ igrammes d'actions 
a entreprendre, selon I'invention, d'une part 
dans une carte a puce, d'autre part dans un or- 15 
gane de gestion de la transaction et troisieme- 
ment dans une base de donnees (qui peut par 
ailleurs etre aussi une carte a puce); 

- figure 3: la representation schematique des ty- 
pes des deuxiemes messages a emettre par 20 
I'organe de gestion de la transaction en repon- 

se aux premiers messages recus; 

- figures 4a a 4d: des exemples preferes d'infor- 
mations et/ou de messages echanges entre 

les different s partenaires a la transaction. 25 
La figure 1 montre un systeme utilisable pour 
mettre en oeuvre le precede de conduite de transac- 
tion selon Tinvention. Ce systeme comporte une carte 
a puce: la carte a puce A. La carte a puce A est no- 
tamment du type porte-monnaie electron ique et 30 
contient dans une memoire MA, par exemple a une 
adresse a, un nombre X d'unite stockees. Les unites 
stockees a I'adresse a le sont sous la forme de don- 
nees representatives de ces unites, cependant ces 
unites pourraient etre egalement enregistrees sous la 35 
forme de cellules memoires obliterables, de type fu- 
sible, lorsqu'eiles sont consommees. Dans ce cas, la 
mise a jour, ('incrementation du contenu d'unite, 
pourratt etre realise en autorisant I'acces a de nouvel- 
les cellules memo ires obliterables ou eventuellement 40 
en enlevant I'obl iteration de cellules memoire deja 
obliterees. Les donnees stockees a I'adresse a peu- 
vent aussi etre des donnees de reservation d'un ser- 
vice ou d'un droit. El les peuvent encore etre des don- 
nees d'information pure. Dans ce cas, la transaction 45 
pourratt avoir pour but de certifier que le tit u la ire de 
la carte A a recu ces informations. 

La carte a puce peut etre mise en relation avec 
une base de donnee, representee ict a titre d* exemple 
par une autre carte a puce B, du meme type que la 50 
precedente. La liaison avec la base de donnees, ou 
plus generalement le systeme d'information, s'effec- 
tue par I'intermediaire d'un lecteur de carte a puce L 
qui, dans I'exemple, comporte un ensemble de bou- 
tons de commande BC ainsi qu'un ecran de contrdle 55 
EC pour visualiser en temps reel 1'evolution de la tran- 
saction ou pour qu'un operateur puisse satisfaire aux 
requetes qui tui sont faites pour mener a bien les dif- 



ferent s protocoles de reconnaissance et devolution 
de la transaction. 

Ainsi dans un premier temps, la carte a puce A en- 
tre en relation avec le systeme, la base de donnees 
representee par la carte B t par rintermediaire du lec- 
teur L. Ce type d'entree en relation est connu. Par 
exemple, un operateur introduitla carte a puce A dans 
le lecteur L. Pour qu'elle soit reconnue, cet operateur 
doit composer avec les boutons BC un mot de passe 
(que lui seul conn ait) a I'invite d'un message appa- 
raissant dans I'ecran EC. Lorsque ce protocole de re- 
connaissance est termine, I'operateur ou un autre 
operateur effectue un meme type d'actions en intro- 
duisant la carte B. En variante, le lecteur est en rela- 
tion directe avec la base de donnees (ou en relation 
differee par branch em ent le soir ou la nuit par exem- 
ple). Dans ce cas le lecteur L lui meme contient la 
base de donnees, au moins sous une forme provisot- 
re. 

Dans le cas le plus complexe ou la base de don- 
nees est egalement une carte B, les lecteurs selon 
I'invention utilisables dans le commerce com port e- 
ront deuxfentes d'introduction telles que F, sans volet 
anti-arrachement lis permettront naturellement de 
retirer les cartes A ou B a tous moments, meme si la 
reconnaissance ou la transaction sont encore en 
cours. En pratique, le procede de I'invention evitera 
tous les problemes qui pourraient en res u Iter. En ef- 
fet, il est illusoire de pre voir des lecteurs avec des me- 
canismes empechant ce retrait eel a les rendrait plus 
compliques, plus chers, et cela serait par ailleurs 
completement inoperant vis-a-vis des velleites de 
fraude emanant des fraudeurs. 

D'une maniere preferee, fe lecteur L comporte 
une memoire ML dans laquelle seront enregistrees 
les differentes transactions effect uees par I'interme- 
diaire de ce lecteur L. 

Les figures 2a a 2b montrent les differentes ope- 
rations effectuees pour mettre en oeuvre le procede 
de I'invention. Par exemple, figure 2b, une fois que 
les cartes A et B ont ete reconnues, un operateur pre- 
voit, a ("aide des boutons de commande BC, la reali- 
sation d'une transaction. II decide par exemple de 
transferer une quantite D d'unites de la carte B a la 
carte A. En definitive on imagine que de cette facon 
on va augmenter le credit d'unite de la carte A en de- 
bitantce qui etait contenu dans la carte B: on effectue 
ainsi un paiement. On peut par ailleurs dans le meme 
ordre d'idee effectuer une reservation, la reservation 
devant etre ecrite dans la carte A, la carte B (ou ta 
base de donnees equivalente) enregtstrant le fait que 
la reservation a ete faite au nom de A. 

Cette transaction comporte done essentielle- 
ment I'envoi de ('information D, sur laquelle porte la 
transaction, a la fois a la carte A et a la fois a la carte 
B. On verra par la suite que cette information est plus 
complete mats pour I'essentiel elle doit com porter une 
information D: D representant par exemple un certain 
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nombre d 'unites. 

Lorsque la carte A recoit ('information D ? figure 
2a, elle Tenregistre en memoire non volatile. Par 
exemple alors que la carte A possedait a une adresse 
a de sa memoire MA, figure 1 f un nombre X d'unites 
enregistrees, elle va maintenant enregistrer a une 
adresse b un nombre d'unites X+D. Cefaisant, la car- 
te A selon la deuxieme phase du procede de Tinven- 
tion va preparer puis envoyer au lecteur U un premier 
message indiquant que les debits (ou credits) conres- 
pondants ont ete effectues provisoirement par la car- 
te a puce A. Pour ce faire la carte a puce A va d'une 
part inscrire dans une memoire de transaction MT 
(qui peut physiquement etre la meme que la memoire 
MA qui contient les unites ou qui peut etre une autre 
memoire du circuit integre, la puce, de la carte a puce) 
une indication relative au stockage provisoire des 
donnees en memoire MA 

La memoire MT a la particularite d'etre non vola- 
tile. Vindication correspond a un premier message 
mentionnant essentiellement le caractere provisoire 
de Tenregistrement de la transaction. Par exemple 
dans la memoire de transaction MT on enregistre, 
dans une ligne d'enregistrement correspondant a la 
transaction en cours: dans une premiere zone Z1, 
I'adresse a mentionnant I'adresse de depart des infor- 
mations, et dans une deuxieme zone Z2 I'adresse b 
renseignant sur I'adresse finale a Tissue de la tran- 
saction. Ceci etant effectue, la carte a puce A emet 
d'autre part en direction du lecteur L un message par 
lequel elle dit de preference que d'une part on a en- 
registre les unites X+D a I'adresse b, et que d'autre 
part I'index provisoire comporte en zones Z1 Z2 Tin- 
formation ab. Ceci en substance veut dire que la tran- 
saction s'est provisoirement bien effectuee. 

La nature du premier message peut §tre tres 
simple, meme codee sur un seul bit pour dire que la 
partie provisoire du procede s'est bien passe. Ce pre- 
mier message peut de preference etre plus complexe, 
par exempte comporter les information d'adresse a et 
b. II peut meme elre chiffre ou signe. 

Le lecteur L regoit alors ce premier message en 
provenance de la carte A, f igure 2b. II verif ie egale- 
ment qu'il recoit un message correspondant en pro- 
venance de la carte B. Celle-ci a bien entendu enre- 
gistre la transaction en sens inverse, son contenu 
d'unites, au prealable valant Y, a ete porte provisoire- 
ment a une valeur Y-D. Lorsque Torgane de gestion 
de la transaction, de preference contenu dans le lec- 
teur L, constate que les informations transmises sont 
coherentes il emet un deuxieme message en direc- 
tion de la carte Aet de la carte B. Le but de ce deuxie- 
me message est de rendre definitive la transaction 
provisoire qui etait prealablement enregistree. 

La carte A et la carte B recoivent alors le deuxie- 
me message, figures 2a et 2c. Elles enregistrent en- 
suite un index definitif en memoire non volatile MT 
mentionnant le caractere definitif de la transaction. 



Par exemple dans une troisieme zone Z3 de la me- 
moire MT, la carte A enregistre Tadresse b en cas de 
succes, ou Tadresse a en cas d'echec. Ceci veut dire 
que T information a utiliser est maintenant Tinforma- 

5 tion a prelever a Tadresse b, ou a, mentionnee en Z3. 
On voit immediatement que, si la transaction avait 
echoue, et ou si le contenu du deuxieme message 
avait ete un message d'echec, ta carte A aura it dans 
la zone Z3 soit une information absente soit Tinforma- 

10 tion a: ceci aurait signifie que Tadresse de la valeur 
definitive a Tissue de la transaction aurait ete Tadres- 
se a: celle qui etait en cours avant le debut de la tran- 
saction. On peut ainsi retenir qu'en cas d'absence 
d'adresse ou d* information en zone Z3, Tadresse ou 

15 Tinformation de la zone Z1 prime. Par exemple, figure 
1 , memoire MT, au dessus de Tenregistrement relatif 
a la transaction en cours, on a montre egalement en 
zone Z3, pour une transaction precedente, que Tinfor- 
mation valable etait stockee a Tadresse a. 

20 Le programme mis en oeuvre par la carte A pour 

rendre la transaction definitive est done simple. En 
cas d'echec de la transaction le contenu de la zone 
Z1 est porte dans la zone Z3. en cas de succes de la 
transaction le contenu de la zone Z2 est porte dans 

25 la zone Z3. Bien entendu, si la carte est retiree avant 
que le deuxieme message ne lui soit parvenu, il n'y 
aura ri en d'enregistre dans la zone Z3 et par conse- 
quent on pourra en d6duire que la transaction aura 
echoue. Au besoin on peut confondre la zone Z1 et la 

30 zone Z3 si on veut gagner de la place en memoire. 
Bien entendu une demarche similaire se produit dans 
la carte B ou dans la base de donnees qu'elle est cen- 
se represe nter. On peut arriver a un meme mecanis- 
me d'autre facon. Par exemple les zones Z1-Z3 sont 

35 accolees a des enregistrements de la memoire MA. 
L'enregistrement de cette memoire qui est valide 
comporte au moins un bit supplemental m ont rant 
qu'il est actif. La carte B est de preference realisee 
avec une meme structure. 

40 De preference, la carte A et la carte B comportent 

un microprogramme systematique qui les empechent 
de fonctionner tant que la zone Z3 du dernier enregis- 
trement en memoire MT ou son equivalent n'est pas 
renseigne. De cette fagon, une carte A ayant subi un 

45 probleme est neutralises Ce microprogramme 
comporte parailleurs une relance systematique en di- 
rection du lecteur L pour recevoir un message du 
deuxieme type. Ce deuxieme message est, hors cas 
normal d'utilisation, systematiquement un message 

50 d'echec de la transaction. II ne peut par exemple etre 
considere comme un message de succes que si son 
dechiffrement le permet. Dans tous les autres cas il 
conduit a devoir rejouer la transaction. 

Sur le plan pratique les operations dans les car- 

55 tes et le lecteur peuvent s'effectuer en temps partage 
et apparattre, a une echelle des temps perceptibles 
par un operateur, comme s'effectuant en meme 
temps en temps reel. 



EP0 686 947 A1 



8 



A Tissue de la transaction, la carte A et la carte B 
envoient au lecteur L un troisieme message signalant 
que la transaction a 6te parfaite en ce qui les concer- 
ne. 

De preference, le lecteur enregistre dans sa me- 5 
moire M, a chaque transaction qu'il effectue, un en- 
registrement comportant en substance une reference 
Ref de la transaction, ['identification A du premier 
partenaire, la carte A, ('identification B du deuxieme 
partenaire, la carte B, le contenu D de la transaction 10 
(avec le sens de la transaction selon que la carte A a 
6te debitee ou creditee), le contenu dans une zone 
M1 du premier message recu a la fois de la carte A et 
de la carte B, le contenu dans une zone M2 du deuxie- 
me message envoye a chacun des deux partenaires, is 
ainsi que le contenu dans une zone M3 du troisieme 
message recu de ces deux partenaires a Tissue de la 
transaction. 

Dans un exemple, figure 3, le premier message 
recu de la carte A peut Stre un message BON f un mes- 20 
sage ECHEC, ou encore pas de message (ou un mes- 
sage incomprehensible) si la carte a ete debranchee 
avant que la transaction ne s'execute ou encore si la 
carte A est en panne. II en est de mfime en ce qui 
concerne la carte B. Le contenu de ces deux messa- 2$ 
ges est stocke dans les zones correspond antes M1 
de la memoire M. Le lecteur L elabore ensuite un mes- 
sage BON uniquement si les deux premiers messa- 
ges recus sont a BON, ou un message ECHEC dans 
tous les autres cas. Le contenu du deuxieme messa- 30 
ge BON ou ECHEC est alors envoy6 a la carte A et a 
la carte B. Celles-ci, a la reception de ce message, 
continuent a effect uer le reste de la transaction et 
transmettent au lecteur L le resultat de leur action. 

Les figures 4a a 4d montrent des exemples pre- 35 
fere de messages echanges entre le lecteur L et la ou 
les cartes a puces. L'information envoyee par le lec- 
teur L, qui correspond a une demande de preparation 
de la transaction, comporte de preference une refe- 
rence de transaction. Cette reference comportera de 40 
preference, en clair ou chiffre, Tindication du nom du 
premier partenaire A du deuxieme partenaire B, de 
Tidentif ication du lecteur L avec lequel la transaction 
a 6te effect uee ainsi que la date a laqueile cette tran- 
saction a et6 effectuee ou d'autres informations. Cet- 45 
te information comporte egalement la valeur de Tin- 
formation a transmettre: D. Elle comporte egalement 
le sens A-B (ou B-A) selon qu'il s'agisse de de biter ou 
de crediter la carte A 

Le premier message 6mis par la carte A repren- so 
dra, de preference, tout ou partie de cette reference 
ainsi que le resultat de la preparation: BON ou 
ECHEC. Les deuxieme et troisieme messages seront 
constitues de la meme maniere. 

De preference les donnees relatives a la referen- 55 
ce ainsi qu'au resultat de la transaction seront cryp- 
tees par des algorithmes de cryptographie contenus 
dans les cartes A et/ou B et par ailleurs connus par 



le lecteur L. De tels procedes de cryptographie sont 
notamment utilises dans Tetat de la technique pour 
effect uer la reconnaissance prealable des cartes par 
le lecteur. 

De preference les contenus de cet envoi etde ces 
messages seront signes. Par exemple, a chaque 
emission ou reception, un compteur demission/re- 
ception, ou demission ou de reception, augmente 
son contenu d'une unite et le cryptogramme envoy6 
relatif a la valeur du message tient compte de Tetat 
de ce compteur pour 6tre parametre. De cette facon, 
si un message devait etre reitere, il ne serait jamais 
reiter6, d'une fois sur Tautre, de la meme facon. 

Lorsque une transaction a echoue, il est possible 
de se retrouver dans une situation telle que dans la 
zone Z3 de la memoire MT de la carte il n'y ait pas 
dedication. Dans ce cas, le microprogramme de la 
carte A envoie une requdte a destination du lecteur L 
visant a recevoir, une deuxieme fois, le deuxieme 
message de maniere a ce que la zone M3 puisse Stre 
renseignee definitivement On se rend compte avec 
ce systeme qu'il est possible, chaque fois que la zone 
23 n'est pas renseignee, de relancer aussi souvent 
que necessaire une requeue a destination du lecteur. 
La requete comportera ('identification de la transac- 
tion par la reference Ref. Lors de la reception de cette 
requete, le lecteur re-emettra le deuxieme message 
qui pourra 6tre recu et interprete en consequence. II 
est evident que, ne connaissant pas les parametres 
de la transaction, un lecteur quelconque L' ne pourra 
qu'emettre un message du deuxieme type faux, qui 
sera alors interprete comme un message d'echec. 

Si la transaction a mettre en oeuvre est une tran- 
saction de type debit-credit, on peut prevoir de valider 
d'abord le d6bit (de la carte B) avant d'envoyer un 
deuxieme message BON a la carte A a crediter. De 
cette facon on evite de creer de la monnaie. Dans ce 
cas, la base de donnees, carte B, emettra son troisie- 
me message, le lecteur L le recevra puis, seulement 
apres, enverra le deuxieme message a la carte A. 

On observe que le procede de Tinvention permet 
ainsi de realiser les operations en temps differe qu'il 
sera necessaire de mettre en place avec la technique 
des cartes a puce a porte-monnaie electronique. En 
effet, la base de donnees, qui peut 6tre contenue 
dans le lecteur L et qui est en fait constitue par les en- 
registrements de la memoire ML, peut servir a mettre 
a jour une base de donnees contenue dans les f'h 
chiers centraux d'une banque. Par exemple, on 
connecte le lecteur L tous les soirs au f ichier centra! 
de la banque en question. Le fait par ailleurs de trans- 
mettre la reference relative a la transaction permet 
d'identif ier, en cas de fraude subtile quel est Tinter- 
venant A B ou L qui se livre systematiquement a des 
operations interdites. 

Pour parfaire encore le procede de Tinvention, il 
peut etre prevu de ne rendre la transaction definitive 
qu'apres une double verification, de telle facon qu'un 
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quatrieme message dotve §tre envoye par le lecteur 
L a destination des cartes A et B. Seule la reception 
par ces cartes A et B de cette deuxieme confirmation 
de exchange vaudrait transaction parfaite. On rajou- 
terait alors une zone Z4 en memoire MJ pour gerer 
cette situation. 

La puce de la carte A comporte d'une maniere 
p referee un microprocesseur etune memoire en rela- 
tion avec ce microprocesseur. Cette memoire peut 
comporterune memoire a acces aleatoire statique ou 
dynamique servant de memoire de travail et une me- 
moire de type EPROM pour servir de m6moire non 
volatile MA • MX et stocker des programmes execu- 
tables, des donnees de base (code secret, identifica- 
tion, signature), et des donnees resultant de la tran- 
saction. La memoire non volatile peut aussi etre une 
memoire a acces aldatoire sauvegard£e par une pile. 

Pour la gestion de la transaction, on retiendra de 
preference un microprocesseur contenu dans le lec- 
teur. II est cependant envisageable de faire supporter 
le control e de la transaction par le microprocesseur 
de Tune des cartes a puce, ou par un microprocesseur 
qui serait dedie a la gestion de la base de donnees. 

Revendlcations 

1 - Procede de conduite de transaction entre une 
carte (A) a puce, notamment de type porte monnaie 
electronique, et un systeme d'information, notam- 
ment une base de donnees, mis en relation entre eux 
par ('intermedia ire d'un lecteur (L) de carte a puce re- 
lie au systeme, caracterise en ce qu'il comporte les 
eta pes suivantes, une fois que la carte a puce est en 
relation avec le systeme: 

- une action de mise a jour d'information est ef- 
fectuee dans la puce de la carte, 

- et une action de mise a jour d'information 
correspondante est effectuee dans le systeme, 

- la carte a puce et le systeme envoient chacun 
a un organe de gestion de la transaction un 
premier message indiquant que les mises a 
jour correspond antes ont ete effect uees provi- 
so irement par la carte a puce et le systeme, 

- I'organe de gestion de la transaction verifie la 
coherence d'au mo ins un de ces premiers mes- 
sages et envoie un deuxieme message a la 
carte a puce et au systeme pour leur indiquer 
que la transaction projetee est equilibree entre 
eux, 

- la puce de la carte a puce n'est autorisee a 
fonctionner que lorsqu'elle a recu et enregistre 
(Z3) le deuxieme message. 

2 - Procede selon la revendication 1 , caracterise 
en ce que 

- ta carte a puce et le systeme enregistrentle ca- 
ractere def initif de la transaction et envoient un 
troisieme message a I'organe de gestion pour 



signaler la reception du deuxieme message, 

- la puce de la carte a puce n'est alors autorisee 
a utiliser les informations recues que lorsqu'el- 
le a emis correctement le troisieme message. 

5 3 - Procede selon Tune des revendications 1 a 2, 

caracterise en ce que la carte a puce et ou la base de 
donnees enregistrent en memoire non volatile 

- le resultat provisoire (X + D) de Taction de mise 
a jour, 

10 - etune indication (a, b) relative au premier mes- 

sage, 

- et une indication (b) relative au deuxieme mes- 
sage. 

4 - Procede selon Tune des revendications 1 a 3, 
15 caracterise en ce que des actions de mise a jour sont 
entreprises a ('initiative de I'organe de gestion du lec- 
teur ou du systeme ou de la carte a puce qui envoient 
a la carte a puce, au lecteur et au systeme des infor- 
mations relatives a ces actions. 
20 5 - Procede selon Tune des revendications 1 a 4, 

caracterise en ce que le systeme d'information est 
contenu dans une autre carte a puce. 

6 - Procede selon Tune des revendications 1 a 5, 
caracterise en ce que ('information et ou certains des 

25 messages comportent une reference (Ref) de la tran- 
saction. 

7 - Procede selon Tune des revendications 1 a 6, 
caracterise en ce que les echanges entre la carte, le 
lecteur, et ou te systeme sont cryptes et ou signes. 

30 8 - Procede selon Tune des revendications 1 a 7, 

caracterise en ce que le deuxieme message est en- 
voye a un des parte naires a la transaction, et ce par- 
tenaire en avert it I'organe de gestion, avant qu'un 
deuxieme message correspondant ne soit envoye a 

35 I'autre partenaire. 

9 - Procede selon Tune des revendications 1 a 8, 
caracterise en ce que, a la reception du troisieme 
message, I'organe de gestion de la transaction emet 
un qua trie me message a destination de la carte et ou 

40 du systeme, pourconf irmerle caractere def initif de la 
transaction. 

10. Procede selon Tune des revendications 1 a 9 
caracterise en ce que on fait faire des requetes en re- 
ception du deuxieme message par la carte a puce et 
45 ou le systeme tant que ce deuxieme message n'a pas 
ete valablement recu. 
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